Cisco Cisco Firepower Management Center 4000 User Guide
34-25
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测敏感数据
下表介绍了可在定义自定义数据模式时使用的字符类。
预处理器将直接输入 (而不是作为正则表达式的一部分输入)的字符视为原义字符。例如,数据
模式 1234 匹配
模式 1234 匹配
1234
。
以下数据模式示例 (用于预定义的敏感数据规则 138:4)使用转义的数字字符类、乘数和选项说
明符元字符、文字破折号 (-) 和左右括号 () 字符来检测美国 电话号码:
明符元字符、文字破折号 (-) 和左右括号 () 字符来检测美国 电话号码:
(\d{3}) ?\d{3}-\d{4}
创建自定义数据模式时务必谨慎。考虑将下列备用数据模式用于检测电话号码,尽管使用的是有
效语法,但可能会导致许多误报:
效语法,但可能会导致许多误报:
(?\d{3})??\d{3}-?\d{4}
由于第二个示例结合了可选括号、可选空格和可选破折号,它会在下列所需模式中检测电话号码
及其他方面:
及其他方面:
•
(555)123-4567
•
555123-4567
•
5551234567
但是,第二个示例模式也会检测以下可能无效的模式及其他方面,从而造成误报:
•
(555 1234567
•
555)123-4567
•
555) 123-4567
最后举一个极端的例子 (仅作说明用途):创建一种数据模式,用以在小型企业网络上的所有目
标流量中使用一个低事件阈值来检测小写字母
标流量中使用一个低事件阈值来检测小写字母
a
。这种数据模式能够在短短几分钟内生成数百万
的事件,从而可能令系统不胜负荷。
\}
}
\\
\
表
34-11
转义敏感数据模式字符 (续)
使用的转义字符
代表的原义字符
表
34-12
敏感数据模式字符类
字符类
说明
字符类定义
\d
匹配任何 ASCII 数字字符 0-9
0-9
\D
匹配任何不是 ASCII 数字字符的字节
不是 0-9
\l (小写“ell”) 匹配任何 ASCII 字母
a-zA-Z
\L
匹配任何不是 ASCII 字母的字节
不是 a-zA-Z
\w
匹配任何 ASCII 字母数字字符
请注意,与 PCRE 正则表达式不同,这不包括下
划线 (_)。
划线 (_)。
a-zA-Z0-9
\W
匹配任何不是 ASCII 字母数字字符的字节
不是 a-zA-Z0-9